再获认可 | 长亭科技API安全入选Gartner两项权威报告
2023-9-8 18:28:38 Author: mp.weixin.qq.com(查看原文) 阅读量:6 收藏

近日,国际权威咨询机构Gartner发布两项API安全报告,长亭科技凭借先进的产品理念实力入选,在Market Guide for API Management, China(《中国API管理市场指南》)中被选为代表供应商,在Tool: Vendor Identification for API Solutions in China(《中国API解决方案代表厂商名录》)中被收录为推荐产品。

随着企业数字化转型的不断推进,API已经成为一种新的关键基础设施,为企业内外部各种业务系统数据共享、功能跨平台集成、微服务架构实施等提供支持,也随之带来了新的风险。
当前,小型业务系统逐渐向大型、关键业务系统扩展,企业用户的网络应用已经和自身的核心数据不断融合,新旧系统之间有大量往来API接口正在被使用。这使得业务系统API接口安全复杂度在急剧上升,业务系统安全压力陡增。同时,适应市场的快速变化,企业在以更快的速度频繁上下线多种类型的业务,API的大量应用为其提供了可能性,但也带来更加不可预测的安全风险。
长亭API安全解决方案
以解决业务安全问题为核心,长亭API安全解决方案利用雷池(SafeLine)下一代Web应用防火墙优异的流量检测能力,对API进行全生命周期管理,从用户、数据、行为三个维度入手,全面分析API数据流转过程,并学习业务行为,识别异常风险的同时提供证据链。
1

全渠道流量汇聚

API资产清晰可见

当前企业内部通常会存在大量的未知或者影子API,其来源包括:由多种技术栈混合部署带来的API孤岛、因开发团队和安全团队信息不同步带来的影子API、采用第三方系统带来的伙伴API。这些API因为没被监测而缺少防范措施,其携带的敏感数据往往直接暴露在外,会对企业造成重大风险。
长亭API安全解决方案通过雷池(SafeLine)无缝接入流量,无需网络架构变动,自动持续发现所有内部、外部和第三方API,并完整展示API请求响应键值对,包括位置、类型、枚举值等精细细节,帮助企业全面掌握API资产。同时,系统可自动识别API业务类型,包括:登录接口、数据采集接口、文件上传接口、文件下载接口等,并自动标注影子和僵尸API,即未知的API与过时、失活的API,有效减少甚至避免这些未知或失活的API对企业系统构成重大风险。
2

全面识别敏感数据传输

可视化监控API数据安全

云应用程序和移动设备访问业务系统提高了效率和生产力,但也让数据访问进入了黑盒模式,企业无法全面监控哪些数据被哪种角色进行了何种调用,无形中将数据资产至于风险之中。
长亭API安全解决方案通过其自动API自动发现和数据监测能力,可持续监控业务系统API传输敏感数据情况并给出完整示例。系统利用内置数据发现规则,审查API传输数据并标记数据类型,例如:个人身份信息、行业和业务数据、企业经营及管理数据、系统运行与安全数据等,分析API数据流向并给出每一类数据的聚合信息,自动提取访问数据者身份权限,构建API数据、权限、行为映射关系,生成4W1H的数据流向全链路视图,即敏感数据(What)被谁(Who)在什么时候(When)通过哪些API(where)基于何种权限(How)访问的,帮助企业快速掌握涉密API的数据安全状况。
3

建立高细粒度属性基数

精准评估API风险

区别于传统的通用攻击手段,API相关的恶意攻击更加具备针对性。在API的恶意攻击者中,有不少是经过了身份验证的用户,他们用数天、数周甚至数月的时间来探测和学习目标企业的 API,利用业务逻辑中的漏洞来达到攻击目的。
长亭科技API安全解决方案利用语义分析引擎,自动还原经过层层伪装变形的攻击向量,精准识别主流API漏洞,同时利用大数据和AI技术为每个API建立细粒度属性基线,有效避免API逻辑漏洞利用、滥用等恶意活动。系统展示的属性包括参数输入的一致性、请求频率、响应量等,清晰梳理出每个API在一小时前、一天前、一周前做了什么,进一步通过检测和分析API运行状态,判断API行为是否与预期用途相匹配,进而帮助企业梳理API在设计、部署和使用中出现的脆弱性。
4

精细化策略处置风险API

最小化影响业务

长亭科技API安全解决方案内置特定API风险处置策略,对命中特定特征的API请求进行阻断,且不影响同一业务下其他API请求访问,确保在最大化保障业务安全的同时,最小化影响业务。在识别到API风险时,系统可提供提供完整上下文,给出风险API整改建议,并同步给开发团队,助力企业快速修复API的薄弱点,为安全合规义务提供有效帮助。
API就像硬币的两面
为企业提供了商业价值的同时
也带来了安全挑战
长亭科技将不断打磨其解决方案
帮助企业
在降低API安全风险的同时保障API价值

参考文献

[1] Market Guide for API Management, China
说明:Gartner未在其报告中支持任何厂商、产品或服务,也并不建议科技客户只选择最高评分或其它指定的厂商。Gartner报告含有其研究组织的意见,但该研究意见不应被视作事实陈述。针对此报告,Gartner不承担相关明示或暗示的保证,包括任何适销性或适用于特定目的的保证。Gartner是Gartner有限公司和/或其附属公司在美国及全球的注册商标和服务商标,经许可在此使用,保留所有权利。GARTNER 是 Gartner, Inc. 和/或其关联公司在美国和国际上的商标和服务标识,并在获得许可的情况下在此使用。保留所有权利。

文章来源: https://mp.weixin.qq.com/s?__biz=MzIwNDA2NDk5OQ==&mid=2651385555&idx=3&sn=b6fa2575a75ad33a6c2fd94f2fbd5c06&chksm=8d399f5bba4e164d189c167f803452d131c4c46e4ab275d43152508d6ceb42cf12512216334b&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh